СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.12.2025
#ИБ

Telegram как платформа C2: рост злоупотреблений Bot API

Злоумышленники всё чаще используют приложения для обмена сообщениями, в частности Telegram, для организации кибератак. В недавних оценках безопасности, проведённых Центром операций по обеспечению безопасности NVISO (SOC), с октября 2025 года было зафиксировано четыре отдельных попытки вторжения с использованием возможностей этой платформы. Это подчёркивает растущую роль мессенджера в тактиках злоумышленников, которые ценят его за анонимность, устойчивость и простоту интеграции.

Почему Telegram привлекает злоумышленников

«Telegram действует как облачная платформа обмена сообщениями, которая облегчает шифрованную связь и поддерживает надёжный Bot API.»

Ключевые характеристики, делающие платформу привлекательной для злоумышленников:

  • Облачная архитектура — сообщения и медиа хранятся в облаке, что упрощает удалённый доступ и управление.
  • Bot API — стабильный и документированный интерфейс, который злоумышленники используют для автоматизации задач и коммуникации с инфицированными машинами.
  • Встроенные механизмы шифрования и массовая распространённость приложения, повышающие уровень анонимности и устойчивости инфраструктуры атакующих.
  • Простота развёртывания каналов и ботов, часто сопровождаемая жёстко закодированными токенами или использованием публичных каналов как C2 (command-and-control).

Конкретные кампании и образцы вредоносного ПО

Примеры последних атак показывают, как разные семейства вредоносов адаптируют Telegram под свои цели:

  • Lunar Spider — использовала Bot API для мониторинга жертв в рамках платформы FakeCaptcha. Злоумышленники внедряли фрагменты JavaScript в панели мошенников, чтобы отслеживать взаимодействие посетителей и отправлять собранные данные в Telegram-канал.
  • DeerStealer — стиллер информации, который применял Telegram для уведомления операторов о завершённых загрузках (payload). Распространялся через поддельные оповещения об обновлениях браузера.
  • Lumma Stealer — восстановил коммуникации C2 через Telegram-каналы, применяя криптографические методы для сокрытия идентификаторов каналов и поддержания устойчивости инфраструктуры, что позволило быстро менять параметры для обхода обнаружения.
  • Raven Stealer — ещё один современный стиллер; после сохранения украденных данных в архив он использует API Telegram для загрузки и эксфильтрации информации по заранее определённым командам.
  • XWorm builder (троянская версия) — применяет Telegram не только для эксфильтрации, но и для удалённого выполнения команд, позволяя операторам отправлять и получать инструкции через бот-инфраструктуру.

Тактики злоумышленников

Общая схема злоупотребления платформой включает несколько устойчивых приёмов:

  • Жёстко закодированные токены ботов или динамическое использование каналов для управления (C2).
  • Использование клиентского кода (например, JavaScript) для сбора данных на стороне пользователя и отправки их в Telegram.
  • Криптографическое скрытие идентификаторов каналов и быстрые изменения конфигурации для усложнения детектирования и факторизации инфраструктуры.
  • Интеграция уведомлений и команд через Bot API, что обеспечивает лёгкую автоматизацию и масштабируемость операций.

Выводы для организаций и пользователей

Сценарии, описанные NVISO SOC, демонстрируют, что Telegram превратился в универсальный инструмент для разнообразных операций — от утечки учетных данных до удалённого выполнения команд и организации C2-инфраструктуры. Организациям следует учитывать эту тенденцию при построении системы мониторинга и реагирования на инциденты, в том числе:

  • Отслеживать аномальные соединения с публичными API мессенджеров и подозрительную активность, связанную с Bot API.
  • Проводить анализ клиентского кода на сайтах, принимая во внимание возможность встраивания JavaScript, который отправляет данные во внешние каналы.
  • Интегрировать проверки целостности и поведенческий анализ для обнаружения стиллеров и троянов, использующих мессенджеры в качестве транспортного слоя для C2 и эксфильтрации.

Telegram остаётся мощным и удобным инструментом коммуникации, но его возможности также дают злоумышленникам эффективные средства для организации атак. Понимание этих рисков и корректная настройка защитных механизмов — ключевые задачи современной кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: